特权账号管理权限解决课件.ppt

1、特权账号管理解决方案目录contents特权安全管理背景01特权安全解决方案02特权管理场景及案例03特权安全管理背景 01蔡淑妍，2016年7月19日被骗9800元，留遗书溺亡徐玉玉，2016年8月19日被骗9900元，郁结于心离世宋振宁，2016年8月18日被骗2000元，导致猝死01电信诈骗致死三名大学生02新兴的网络攻击已出现-1美国大规模断网调查：病毒感染中国产监控设备，百万设备无法修复美国大规模断网调查：病毒感染中国产监控设备，百万设备无法修复黑客在本周五（10 月 21 日）通过互联网控制了美国大量的网络摄像头和相关的 DVR 录像机，然后操纵这些肉鸡攻击了美国的多个知名网站，包

2、括 Twitter、Paypal、Spotify 在内多个人们每天都用的网站被迫中断服务。据了解，黑客们使用了一种被称作物联网破坏者的 Mirai 病毒来进行肉鸡搜索。更为致命的是，Mirai 病毒的源代码在 9 月的时候被开发者公布，致使大量黑客对这个病毒进行了升级，传染性、危害性比前代更高。Mirai 病毒是一种通过互联网搜索物联网设备的一种病毒，当它扫描到一个物联网设备（比如网络摄像头、智能开关等）后就尝试使用默认密码进行登陆（一般为 admin/admin，Mirai 病毒自带 60 个通用密码），一旦登陆成功，这台物联网设备就进入肉鸡名单，开始被黑客操控攻击其他网络设备。根据国外网站

3、 KerbsonSecurity 的调查，导致大规模断网事件的原因绝非我们想象的那么简单，其背后暴露出物联网设备的重大安全隐患。据报道，一共有超过百万台物联网设备参与了此次 DDoS 攻击。其中，这些设备中有大量的 DVR（数字录像机，一般用来记录监控录像，用户可联网查看）和网络摄像头（通过 Wifi 来联网，用户可以使用 App 进行实时查看的摄像头）。而据安全公司的数据显示，参与本次 DDoS 攻击的设备中，主要来自于中国雄迈科技生产的设备。这家公司生产的摄像模组被许多网络摄像头、DVR 解决方案厂家采用，在美国大量销售。世界首例 乌克兰大停电证实是遭黑客入侵电影中经常有黑客入侵电力系统，

4、导致整个城市或甚至国家停电的剧情，虽然好莱坞编剧们“互相参考”之下，这种剧情写得好像理所当然，不过在现实世界中，尽管电厂与电力设施每天都遭到黑客攻击，成功导致大规模停电的例子原本其实一件都没有，直到 2015 年 12 月，乌克兰才首开纪录。2015 年 12 月 23 日，乌克兰电力网络受到黑客攻击，导致伊万诺-弗兰科夫斯克州数十万户大停电，1 个月后，安全专家表示，证实这起停电是遭到黑客以恶意软件攻击电网所造成，2016 年 1 月 4 日时，安全公司 iSight Partners 宣布已经取得用来造成该起大停电的恶意程序码，由于过去从来未曾有黑客攻击造成电网大规模停电的纪录，iSigh

5、t Partners 认为这起攻击是电网资安史上的里程碑。乌克兰相关单位怀疑可能是俄罗斯在背后发动这起攻击，俄罗斯先前用木马软件 BlackEnergy 攻击乌克兰政府相关机构，乌克兰方面认为这次停电也可能是俄罗斯国安当局使用 BlackEnergy 对乌克兰进行的攻击，不过尚未有足够证据显示攻击是由 BlackEnergy 或是俄罗斯单位所发动。过去电力网络遭入侵时，因为各系统的软硬件规格不同，系统环境破碎之下，黑客很难发挥太大影响，大多数攻击都被视为根本不值一提，连向上回报的必要都没有，但乌克兰如今证实黑客造成大停电的电影情节有可能成真，各国电力系统管理当局可得更绷紧神经了。03新兴的网络

6、攻击已出现-2台湾第一银行台湾第一银行ATM机黑客盗领案机黑客盗领案2016年7月中，我国台湾地区的台湾第一银行旗下20多家分行的41台ATM机遭遇黑客攻击，被盗8327余万新台币。360追日团队对这起针对ATM机的黑客攻击盗窃事件进行了分析，还原了整个事件的过程，分析了黑客攻击手法和过程，并据此提供了安全建议。7月4日，入侵者仿冒更新软件并下发至第一银行各ATM，开启ATM远程控制服务(Telnet Service)。直到7月9日入侵者再远程登录，上传ATM操控程序后，远程遥控进行吐钞，由各就各位的“钱骡”领取赃款。完成盗领后，远程操控者再将隐藏控制程序、纪录文档、执行文档全部清除。办案人员

7、同时查出，对第一银行ATM下达吐钞指令的恶意程序，竟来自第一银行英国伦敦分行电脑主机和2个存储电话录音的硬盘，其中一个已经损毁。据判断，犯罪集团先黑入录音硬盘，取得犯罪集团先黑入录音硬盘，取得电脑主机的最高权限，接着在电脑主机的最高权限，接着在ATM硬盘内植入恶意程序硬盘内植入恶意程序，再派出外籍嫌犯入境台湾盗领现金。04特权管理问题-1孟加拉央行失窃事件孟加拉央行失窃事件在2月一个再普通不过的宁静早晨，黑客使用正确口令，通过SWIFT系统冒充孟加拉央行向纽约联储发出指令，而纽约联储随后将巨额资金汇到了菲律宾。虽然由于黑客拼写错误和纽约联储未全部执行转账要求而避免了更大的损失，但是这次“打劫央

8、行”的故事依然被人津津乐道。黑客攻入孟加拉央行系统窃取其黑客攻入孟加拉央行系统窃取其转移支付的安全证书转移支付的安全证书，之后通过SWIFT电文对孟加拉央行在纽联储的账户进行转账交易，纽联储发现转账巨款流入的是个体账户，向孟加拉发出警告，但未进行其他有效措施对交易进行审核，而完成了转账交易，造成孟加拉央行8100万美元被窃取。05特权管理问题-206特权管理问题-307特权管理问题-4据初步调查，4月12日下午4:30到5点之间，某人在外包团队中一位雇员的笔记本对银行核心系统的275台服务器下达了rm.dd命令，该命令会删除服务器上的所有文件。这里面表明了该企业安全工作的纰漏，或者说是失误。首

9、先，对于这种权限管理，要管理到人，严格限制非常小的范围。并且，需要通过联合密码等方式来保证权限的实施不是一个人可以决定的，虽然不能避免合谋的情况，但是至少应该有这个考虑；另外，权限使用的审计也需要加强，根据这个事件来看，应该要能够在第一时间来确定是谁的帐号出现了问题，实施了什么操作，从而快速定位到责任人，或者定位到责任人有可能在什么情况下被别人盗用帐号；韩最大银行遭遇黑客 农协银行5千分行电脑瘫痪2011年4月19日电 据新加坡联合早报报道，紧接在韩国现代资本公司之后，韩国农协银行也疑遭电脑黑客袭击，其电脑网络瘫痪了三天，数以万计的客户受影响。韩国农协银行有约5000家分行，是韩国境内最大的银

10、行网络。本月12日，该银行电脑网络开始出现故障，客户无法提款、转账、使用信用卡和或取得贷款。三天后，农协银行才恢复部分服务；但截至昨天，一些服务包括预借现金服务仍尚未恢复。到目前为止，农协银行接获大约31万名客户的投诉，另外还有将近1000人要求银行赔偿。2014年1月韩国史上最大规模（1亿条）的信用卡信息泄露事件08社保数据安全堪忧09APT攻击正在瞄准关键行业通过深入跟进、分析台湾第一银行事件、孟加拉国央行等事件，我们发现针对金融行业的网络攻击已经开始进化，攻击者的目标不在限于普通终端用户，而逐渐瞄准金融机构本身。另外这几次针对银行等金融机构的攻击幕后或者其攻击手法都是APT组织或者利用了

11、APT攻击方法，这说明APT组织开始进行针对商业的攻击，而且会使用APT方法来进行商业类攻击。APT攻击的关键目标就是特权账号 备受期待的威瑞森2016年度数据泄露报告(DBIR)终于出台。今年的报告在67家贡献合作伙伴支持下编译完成，包含了对82个国家，超过10万起安全事件和2260起已证实数据泄露事件的分析。1、毫无意外，威瑞森及其合作伙伴在2015年调查的大量数据泄露事件中表示，人的因素是其中最弱的一环。2、在2260起已证实数据泄露事件的分析过程中，可以确定，63%都涉及到弱口令、默认口令或被盗口令。完整报告下载链接：http:/106.186.118.91/201605/2016_d

12、ata_breach_investigations_report_verizon.pdf3、95%的安全漏洞均可以追溯到身份访问凭据被盗，而另外则有10%是由可信人员滥用身份访问凭据所导致的。2015年度数据泄露报告10电信诈骗折射数据泄露严重 建立特权账户管理依旧是全球企业关注的焦点。Gartner称，到2018年，25%的企业都将审核特权活动并将数据泄露事件减少33%。特权账户管理(PAM)是最受企业欢迎的一个安全解决方案。Gartner在报告中写道：“2015年仅有少于5%的企业跟踪、审查特权活动。其余的企业最多在特权活动发生时控制并记录了时间，地点及人物，但它们并未关心真正发生了什么。

13、除非企业跟踪并审核特权活动，企业都将遭遇内部威胁，恶意用户或会导致重要中断的错误的风险。企业应该将IT环境中所有权限级别超越标准用户的特权账号列入清单中。经常扫描IT基础设施以发现拥有过量权限的新账户是企业安全的最佳做法。Gaehtgens说：“对于那些快速变化的动态环境（如大规模使用虚拟化技术或包含云基础设施的混合IT环境），这点更加重要。企业应该通过使用一些PAM供应商提供的免费自动搜索工具来自动发现IT设施内未受管理的系统及账号，但即使是这样的自动搜索工具也无法发现所有的异常。”(1)列下所有特权访问账户的清单并分配所有权(2)不要共享共享的帐户密码(3)尽量减少个人及共享特权帐户的数量

14、(4)建立共享帐户使用管理的流程及控制方法(5)为常规(非特权)访问的用户提供权限提升Analyst(s):Felix Gaehtgens,Anmol Singh 27 May 2015 11Gartner对特权管理的建议信息安全等级保护相关监管要求信息安全等级保护相关监管要求应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度，应记录审批过程并保存审批文档。身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换口令应有复杂度要求并定期更换。应授予不同帐户为完成各自承担任务所需的最小权限最小权限，并在它们之间

15、形成相互制约的关系。应及时删除多余的、过期的帐户，避免共享帐户的存在避免共享帐户的存在。应确保在外部人员访问受控区域前得到授权或审批，批准后由专人全程陪同或监全程陪同或监督督，并登记备案。等保监管信息系统安全等级保护基本要求信息系统安全等级保护基本要求（GBT 22239-2008）等保监管由系统控制的敏感数据，如口令、密钥等，不应在未受保护的程序或文档中以明不应在未受保护的程序或文档中以明文形式存在。文形式存在。系统应提供一种机制，能按时间、进入方式、地点、网络地址或端口时间、进入方式、地点、网络地址或端口等条件规定哪些用户能进入系统哪些用户能进入系统 数据库管理系统安全技术要求（数据库管理

16、系统安全技术要求（GBT 20273-2006）12合规性的要求-等级保护特权安全管理解决方案 0201内部成为网络安全新的战场90%以上的企业曾经被入侵以上的企业曾经被入侵过去：“在网络边界我们有强大的保护系统”如今：“恶意软件无孔不入，很容易穿透边界防火墙、入侵防御系统”信息安全的交锋转移到内网信息安全的交锋转移到内网据统计超过35%的信息泄露是内部的问题黑客们凭借盗用的凭据掩藏身份，扮演为合法的内部使用人员特权账户的审计和合规特权账户的审计和合规特权账户顾名思义：拥有访问最敏感最有价值的数据的权限品牌、信誉以及客户的信任度等企业的无价之宝受到信息泄露的牵连$280亿美金花费在网络安全上亿

17、美金花费在网络安全上超过9成的企业仍然被攻破02边界始终被攻破Mandiant,M-Trends and APT1 Report 20142014“100%的信息泄露都涉及到了凭据丢失“高级持续性威胁APT首先尽各种可能找到可以利用的特权账号，例如：域管理员、具有域权限的服务启动账号、本地管理员账号和拥有业务特权的账号。03获取特权凭证是黑客必要条件无线路由器、智能电视、机顶盒、摄像头特权账号盗用特权账号盗用笔记本、平板电脑、智能手机发电厂、工厂路由器、防火墙、Hypervisors、数据库、业务系统路由器、防火墙、服务器、数据库、业务系统攻击者能够攻击者能够:绕开安全控制和监控访问设备上的全

18、部数据、干扰设备的正常运维造成物理破坏04特权是通往数据中心的命门技术的挑战可视性不佳管理困难缺少控制很难看到存在什么账户，谁在使用这些账户很难保障特权密码的安全无法看到谁在用哪个帐号在做什么，没法控制特权账户的权限业务影响数据外泄风险审计失败和罚款的风险特权账户使用静态密码，对账户缺乏管理、监控方法，企业容易遭受攻击很多法规要求企业管理特权账号密码并监控特权账户使用05特权的管理挑战 06数据中心到底有多少特权账号操作系统ZOS/UNIX/Linux/WIN/AD安全设备网络设备数据库DB2/Oracle/MSSQLTeradata应用部署应用后台中间件WebSphere,WebLogic系

19、统服务脚本应用内嵌的账号虚拟化管理软件Windows的Cluster服务、计划任务、中都需要绑定域账号网络、安全设备中的root或者enable账号内部管理软件比如备份，监控等系统的管理员账号07国内主流解决方案07复杂的内部关系基础技术平台主动管控组件特权威胁分析HaiYi-PAS 为特权用户的身份管理和访问控制提供一体化的解决方案。企业密码保险库特权会话管理应用身份管理按需分配特权管理WEB门户主策略管理器安全数字保险库特权威胁分析保护监控响应SSH Key 管理账号扫描引擎动态数据脱敏08HaiYi-PAS完整解决方案09特权的全生命周期管理审批审批流程流程安全安全策略策略访问访问账号账

20、号报告报告访问访问 控制控制账号账号 采集采集提供使用提供使用DR服务器服务器PROVIDER邮件服务器邮件服务器动态口令服务器动态口令服务器电子签名电子签名同步同步账号管理账号管理访问控制访问控制目标设备目标设备Telnet|SSH|RloginFTP|SFTP|Win Term应用系统应用系统网络设备网络设备数据库数据库主机主机生命周期生命周期密码密码账号账号非法账号非法账号日志日志/审计审计会话控制会话控制访问控制访问控制命令控制命令控制管理员管理员员工员工第三方第三方离职员离职员工工基础认证基础认证多因素认证多因素认证外部认证外部认证OTPPKIBioSmart CardLDAPSSO

21、RADIUS单一用户界面单一用户界面认证认证用户用户。ID/PWIP/MAC。HaiYi PASHaiYi PAS应用内嵌特权应用内嵌特权密码和SSH密钥专业的数字保险库锁定所有特权账户防止恶意软件监控特权会话对被盗用的特权账户采取及时措施例如自动实时更改密码以避免更多损失特权会话隔离和控制持续监控特权行为并发出报警全面覆盖任何层面的特权账户覆盖任何特权账号10统一界面、统一流程11访问管理访问管理&身份管理身份管理 使用直观的统一用户界面、统一流程，强调用户便捷性.现状现状未来未来 控制不同设备上的账号&权限 基于工作流的自动账号控制 导入HR数据自动删除离职员工 密码变更和管理策略 手工账

22、号管理浪费资源 多系统 管理导致复杂化 没有账号使用状态信息 没有密码策略管理难以管理难以管理用户用户用户用户用户用户管理员管理员审批系统审批系统用户用户账号账号请求请求管理员管理员直观直观&易于使用易于使用的系统的系统手工账号管理手工账号管理账号账号 请求请求LINUX/UNIX Windows 数据库网络设备 应用系统设备设备设备设备LINUX/UNIX Windows 数据库网络设备 应用系统设备设备批准或拒绝批准或拒绝密码安全策略管理密码安全策略管理闲置闲置/非法非法账号管理账号管理统一账号统略管理统一账号统略管理账号集中管理账号集中管理账号统一账号统一管理管理HaiYi PAS特权账

23、号的管理趋势12 账号自动收集与同步 HR 同步 账号管理(创建/变更/删除)密码管理服务 批量账号管理账号授权/变更请求系统账号的收集与疏理管理员定义强制的密码策略用户用户 账号账号应用应用管理员审批管理员审批收集收集供给供给不同系统的账号不同系统的账号自动自动/手工手工密码变更密码变更管理员定义管理员定义账号策略账号策略离职员工离职员工HR 数据同步数据同步Life-cycle创建账号创建账号收集账号收集账号变更账号变更账号删除账号删除账号13账号集中管理 密码更新频率管理 密码更新历史管理更新历史报告更新历史报告密码自动管理密码自动管理符合隐私政策规范符合隐私政策规范提高工作效率提高工作

24、效率PW策略策略管理员管理员密码安全策略定义密码安全策略定义密码变更模型密码变更模型密码复杂度定义密码复杂度定义最大/最小长度长度长度按预定义时间自动变更自动自动手动手动随机随机 手动变更定义复杂度随机变更 密码自动、手动、随机变更 特殊账号密码设备设备LINUX/UNIXWindows数据库网络设备应用系统供给使用供给使用按策略变更密码按策略变更密码特殊字符，数字、大小写、允许的字符字符字符HaiYi PAS14密码安全策略管理 各种各样的数据库管理 组权限绑定 用户组策略定义 自动权限绑定 用户账号管理界面 用户组策略标准化策略标准化策略管理员管理员用户用户第三方第三方账号账号请求请求预设

25、用户组权限预设用户组权限保障快速可靠的访问保障快速可靠的访问和权限管理和权限管理权限权限授予授予管理员权限管理员权限绑定绑定用户用户 权限权限绑定绑定第三方第三方权限权限绑定绑定系统系统 账号账号LINUXUNIXWindowsCent OS数据库数据库 账号账号OracleMsSQLMySQLSyBaseAD 账号账号提供使用提供使用账号账号 请求请求标准化账号标准化账号策略策略预定义策略绑定预定义策略绑定提供使用提供使用统一账号管理统一账号管理HaiYi PAS15统一账号策略管理密码共享密码共享产生非受控账号产生非受控账号 不能防止不能防止非法非法 行为行为所有用户只能通过所有用户只能通

26、过HaiYi-PAS访问设备访问设备 预防非法活动预防非法活动现状现状未来未来定制化能力定制化能力代理网关代理网关管理员管理员(Administrator)用户用户用户用户非法非法用户用户管理员管理员(Administrator)用户用户用户用户非法非法用户用户设备设备设备设备基础认证基础认证外部认证外部认证LDAPSSORADIUS多因素认证多因素认证SMSOTPPKIBioSmart Card。ID/PWIP/MAC。HaiYi PAS16统一认证管理 控制每个用户的访问 访问多个设备 强用户认证(双因素)控制用户访问时间 自动登录单一用户界面单一用户界面控制访问时间控制访问时间访问访问

27、权限权限&自动登入自动登入使用双因素认证(OTP,SMS)强化安全一次登入访问所有授权设备Mon-Fri不可访问可访问9AM6PM设备组设备组1设备组设备组2自动登入自动登入自动登入自动登入设备设备Administrator双因素认证双因素认证用户组用户组1用户组用户组2UNIXWINDOWS WINDOWSUNIX应用系统网络设备数据库数据库配置用户的配置用户的 设备访问设备访问 权限权限基础认证二次认证基础认证二次认证基于小时、天、星期、月配置用户/用户组的访问HaiYi PAS17单点登录访问权限访问权限控制控制实时实时 会话控制会话控制协议控制协议控制命令控制命令控制统一授权统一授权访

28、问控制访问控制单一的系统访问通道控制每个用户的访问权限对非法活动的会话进行控制不能控制非授权系统访问没有工具监视和记录用户活动用户管理不到位现状现状未来未来共享账号共享账号共享共享远程访问远程访问非法非法 访问访问用户用户用户用户非授权用户非授权用户ID/密码密码第三方第三方非授权用户非授权用户LINUX/UNIX Windows 数据库网络设备应用系统设备设备Windows 数据库网络设备 应用系统设备设备LINUX/UNIX系统失败系统失败不能定位失败原因不能定位失败原因定义访问定义访问策略策略HaiYi PAS18统一授权与控制 定义允许/禁止的命令 命令使用日志 监视/告警 禁止的命令

29、执行时阻断会话用户用户输入命令输入命令最小权限最小权限管理管理允许的操作允许的操作授权的操作授权的操作禁止的操作禁止的操作立即执行立即执行申请提权申请提权警告信息警告信息拒绝拒绝邮件或短信交互邮件或短信交互防止用户误操作导致安全事故防止用户误操作导致安全事故会话会话阻断阻断邮件或短信通知邮件或短信通知LINUX/UNIXWindows管理员管理员命令命令配置配置分析分析/统计统计设备设备警告信息警告信息HaiYi PAS19最小权限DB会话时间点定义阻断用户会话实时会话监视用户用户1用户用户2非授权用户非授权用户侦测非法活动侦测非法活动可用时间到期可用时间到期实时监视用户活动实时监视用户活动审

30、计审计会话超时会话超时阻断会话阻断会话实时实时分析分析实时实时 监视监视审计审计 报告报告会话控制会话控制管理员管理员 会话超时(闲置会话)连接状态会话监视策略符合性状态服务器状态监视设备设备LINUX/UNIXWindows数据库网络设备应用系统HaiYi PAS20会话实时控制登入登入数据库数据库Text 审计审计账号管理历史账号管理历史请求请求/批准历史批准历史统一用户账号列表非法统一用户账号列表非法账号管理历史账号管理历史废弃账号管理历史废弃账号管理历史访问控制访问控制单一用户单一用户界面界面ID管理管理搜索、过滤相关信息搜索、过滤相关信息用户用户管理员管理员 记录所有用户活动 自定义

31、统计和分析 多种审计报告格式 多种搜索过滤 字符/录像记录活动活动 记录记录从登入开始记录从登入开始记录多种审计报告多种审计报告历史记录管理历史记录管理1,4 分段观看录像录像多样审计报表多样审计报表文本文本设备设备每个用户的访问历史每个用户的访问历史权限变更历史权限变更历史命令执行历史命令执行历史用户活动历史用户活动历史HaiYi PAS21统一审计幽灵账号管理失踪账号管理非法账号检测，自动检测/锁定废弃账号管理闲置账号管理账号历史统计分析账号历史统计分析数据库数据库MS锁定锁定延期延期账号管理账号管理闲置账号闲置账号废弃账号废弃账号非法非法账号账号幽灵账号幽灵账号失踪账号失踪账号特定时段不

32、能访问目标系统特定时段不能访问目标系统(自动锁定自动锁定)自动同步获取自动同步获取HRHR信息，删除最近离职信息，删除最近离职员工的账号员工的账号非常规授权创建的账号非常规授权创建的账号在在HaiYi-PAS中注册中注册,但目但目标设备中不存在的账号标设备中不存在的账号删除删除设备设备LINUX/UNIXWindows提供使用提供使用HaiYi PASAIX22废弃/闲置/非法账号管理23HaiYi-PAS部署架构灾备数据中心二运维人员主保险库审计、内控人员灾备数据中心一主数据中心IT资产IT资产IT资产Auditors/ITAuditors/IT灾备保险库灾备保险库灾备复制链路加密通道灾备复

33、制链路加密通道应用对接应用对接(WebSphere,Weblogic等标准中等标准中间件，以及用户自有应用间件，以及用户自有应用)24HaiYi-PAS混合部署架构支持云部署对比项对比项HaiYi PAS堡垒机堡垒机产品形态软件硬件单点登录支持支持特权账号扫描与发现支持部分支持特权账号密码自动管理支持部分支持特权会话管理支持支持按需定制的特权管理支持不支持数据库特权管理支持不支持应用身份管理支持不支持安全威胁主动分析支持不支持分布式部署与集中管理支持不支持防绕行能力支持不支持容灾能力支持不支持特权账号覆盖能力全覆盖不到50%接口开放性标准SDK接口集，非常开放，与周边系统能很好的融合与，随需应

34、变的二次开发响应服务一般不提供二次开发服务，不开放接口，黑匣子SaaS服务化支持只提供镜像方式25主流解决方案对比特权管理场景及案例0301视频监控平台管理1.用户发起连接2.KVM管理器发起密码调研请求3.通过请求带的密码连接4.定期修改带外管理密码02场景带外密码管理03程序内嵌特权管理要管应用程序/脚本的内嵌账号密码，到底有多难？不敢改，因为改密过程很复杂不能改，因为改密了要停机IT运维和开发人员要用密码，不能不给密码成为公开的密码密码强度？谁使用密码？用来干嘛？都无从考究！困难：影响：个别配置甚至明文存储密码思考：应用程序/脚本能自己去某个地方取密码，就好了！04程序内嵌特权管理安全存

35、储Password and SSH Key 轮换*应用特权凭证管理应用特权凭证管理Application Servers(WebSphere,Weblogic,etc.)Unix ServersWindows ServersDesktopsMainframe ServersSecurity AppliancesWebsites/Web AppsDatabasesServersNetwork DevicesCloud InfrastructureUsername=Password=Host=ConnectDatabase(Host,Username,Password)ApplicationsAp

36、plicationsApplicationsApplicationsApplications“app”“y7qeF$1”“10.10.3.56”Username=GetUserName()Password=GetPassword()Host=GetHost()ConnectDatabase(Host,Username,Password)密码保险库密码保险库 对中间件webconsole账号进行托管，并定期自动修改webconsole密码，无需重启中间件系统，不影响业务系统正常运行。05中间件Web Console管理06DBA敏感数据动态脱敏前端风险：目标不确定，但最好防（WAF、二级库、传统

37、安全边界）业务人员：利用业务需要进行数据的查询、导出及打印，数据泄露最可能的地方运维及测试人员：危害最大，整库导出07自动化应用发布与运维中间件密码不会被定期修改：中间件密码不会被定期修改：为了获得更高的安全水平,密码需要定期修改。而通过自动化部署服务器发布应用，需要填写固定的中间件密码参数，一般会使用固定密码。应用运维人员和部署人员都知晓中间件密码应用运维人员和部署人员都知晓中间件密码：部署人员需要向IT运维人员获取中间件密码，通常会把明文密码保存在本机。所以通常密码在IT运维人员和部署人员整个企业中是共享的,特别还包括离职员工以及外包人员。通过管理服务器来管理目标：通过管理服务器来管理目标

38、：运维人员需把密码给到第三方管理服务器使用，此时需要把目标设备明文密码提供给外包人员，而且一旦目标密码更改，对应的管理服务器上所存储的密码会失效。安全存储Password and SSH Key 轮换*自动化应用发布与运维特权凭证管理自动化应用发布与运维特权凭证管理Oracle ManagementServersJenkins ServersWebsites/Web AppsDatabasesUnixServersCloud InfrastructureUsername=Password=Host=ConnectWAS(Host,Username,Password)emcli.attribut

39、es=WLPassword:Named CredentialsScripts“wasadm”“y7qeF$1”“10.20.1.26”Username=GetUserName()Password=GetPassword()Host=GetHost()ConnectWAS(Host,Username,Password)emcli.attributes=WLPassword:密码保险库密码保险库Application Servers(WebSphere,Weblogic,etc.)动态获取与更新密码08自动化应用发布与运维CodeBuildIntegrateTestReleaseDeployOpe

40、rate09DevOps安全“如果没有投入适当的资源来确保应用程序和产生这些应用程序的DevOps管道，组织的安全状况就不可能完成”HaiYi REST API新的凭证或秘钥新的配置服务器新的配置服务器url=http:/#vaulthostname/PasswordVault/WebServices/PIMServices.svc/Accounturi=URI.parse(url)http=Net:HTTP.new(uri.host,uri.port)request=Net:HTTP:Post.new(uri.request_uri,Content-Type=application/json

41、,Authorization=authcode”HaiYiLogonResult)addaccount=:account=:safe=#targetsafe,:platformID=#platform,:address=#targetaddress,:accountName=#targetname,:password=#password1,:username=#targetusername,:disableAutoMgmt=0 request.body=JSON.generate(addaccount)resp=http.request(request)通过资源编排工具，利用REST API，

42、自动化配置任何新系统的特权凭证或秘钥Puppet Master/Ansible ControlNode10DevOps安全IT PersonalDevOps EngineerDeveloper#4-特权用户和远程用户的安全访特权用户和远程用户的安全访问问#2-DevOps和云基础设施安全和云基础设施安全#3 自动化配置管理的安全自动化配置管理的安全应用一致、统一的企业级特权访问管理体系跨混合架构应用一致、统一的企业级特权访问管理体系跨混合架构、云、内部网、云、内部网、DevOps等环境等环境.#1 应用安全应用安全11DevOps安全PASISMP密码保险库(生产)密码保险库(灾备)密码备份(

43、加密/明文)智能网关账号管理安全风险管理密码复制(加密)密码调用PAS特权账号密码管理范围：UNIX/LINUX：root Windows：administrator Oracle/MySQL:dba(sys)密码自动修改，满足安全管理规范中对密码复杂度及修改周期的要求可对密码进行自动转储、备份和恢复，包括全量和指定密码PAS高可用灾备模块保证PAS 99.9%的可用性11弥补4A的空白 VaultUNIX/Linux通过Vault把UNIX账号与Active Directory连接起来 提供UNIX/Linux 用户的Active Directory 认认证证 Vault和AD中的UNIX用

44、户集中组策略UNIX账户的自动配置和取消，如AD中定义的用户一样Vault中的UNIX登陆事件安全集中报告AD Bridge功能介绍：功能介绍：实现在AD域中按需创建一个用户，通过Vault同步之后，自动为授权运维机器批量创建和回收账号的功能12批量自动创建和回收ssh AD 定期同步运行创建用户脚本用户第一用户第一次登陆次登陆初始化ssh会话YesNo1.用户通过SSH 代理登录目标系统2.用户使用 Vault(AD)证书进行身份验证3.如果用户不存在，代理将透明的配置用户(运行命令 useradd)IT 人员如何配置用户如何配置用户1.使用root登录2.检查其是否存在3.使用强随机密码创

45、建本地用户(不能远程连接)4.为被创建的用户打开新会话123Vault,PSMP目标机器MicrosoftActive Directory发现所有帐户（特权和非特权）n能对Windows、Linux、AIX、Unix等账号做自动扫描与发现n扫描SSH Key与秘钥hash值，及信任关系虚拟图nWebSphere，WebLogic和IIS服务器中的嵌入式和硬编码凭证nAWS IAM用户，访问密钥和EC2密钥对n能图形的方式对账号的扫描情况、脆弱性展示报表13账号扫描与发现14特权账号全生命周期管理网络设备x86服务器API数据库应用/脚本/配置文件安全设备网站应用云平台特权账号安全管理平台企业资

46、源终端自然人HaiYi-PAS Web门户安全托管密码定期自动轮换*LDAP/RSA/Radius*账号异常活动Query改写后的Query部署端到端的特权账户生命周期管理方案能够降低数据外泄风险、满部署端到端的特权账户生命周期管理方案能够降低数据外泄风险、满足合规性要求足合规性要求自动发现所有的特权账号自动发现所有的特权账号及其相关联信息及其相关联信息保护特权账户密码保护特权账户密码实行特权账号访问控制实行特权账号访问控制在业务系统中移除硬编码及明文密码在业务系统中移除硬编码及明文密码监控所有的特权账号密码使用监控所有的特权账号密码使用自动密码及自动密码及SSH KEY管理管理监控特权会话活动监控特权会话活动施行最小权限原则施行最小权限原则发现可疑的账号活动风险发现可疑的账号活动风险15端到端的特权管理方案16特权管理最佳实践2.安全存储特权密码并且实施有效改密策略；(需要具有专利技术的密码保险库，普通数据库存储密码安全隐患大，例如Oracle)3.特权会话审计和管控，特权密码透明登录提高运维效率；（安全性、合规性、高可用和运维效率四者兼得）4.持续监控特权账号。（对特权账号的行为进行分析，实时应对随时可能发生的特权账号非法或恶意操作：如非法创建管理员账号、窃取密码扮演合法身份等）1.扫描特权账号；(特权账号可视度，了解风险才能管理风险)